Computerbeveiliging - Hoe je bad guys buiten de deur houdt

wat zijn de gevaren van mail servers zonder startTLS beveiling?

01-12-2015, 20:06 door Anoniem, 3 reacties
welke risico's zijn er verbonden aan het gebruik van email verkeer waarbij de een of beide mail servers (verzender/ontvanger) geen gebruikt maakt van startTLS, ten aanzien van sniffing attacks voor buitenstaanders vannaf het WAN?

Wat ikzelf er tot dusverre uit heb begrepen is dat al het mail verkeer in bovengenoemde situatie in plain tekst word verzonden, maar hoe eenvoudig is het nu voor een attacker om dit verkeer te kunnen onderscheppen, of is dit allemaal nog niet zo eenvoudig/gevaarlijk als dat het doet overkomen misschien?
Reacties (3)
02-12-2015, 13:25 door Dick99999
Extern aftappen, verkeer omleiden en intern aftappen van leesbare tekst lijken mij de grootste risico's. Hoe vaak? Enige herinnering die ik heb is het grootschalig aftappen van verkeer door overheden door een kabel te splitsen.
02-12-2015, 14:25 door Preddie
Allereerst; STARTTLS is geen beveiliging. Het is een methode waardoor applicatie zonder TLS ondersteuning als nog in staat kunnen worden gesteld over TLS (Transport Layer Security) beveiligde verbinding te communiceren.

Het enige wat TLS doet is het verkeerde tijdens transport beveiligen middels encryptie maar niet de inhoud van het verkeerd of het bericht zelf.

De waarde van TLS kan per implementatie verschillen. Zo zijn een aantal zaken van essentieel belang, namelijk de versie van het protocol, encryptie algoritmes, cipher suites, fall backs, identiteit en certificaat controle. Daarnaast wordt de sterkte van de keten bepaald door de zwakste schakel, als alle informatiesystemen de informatie middels TLS uitwisselen en ontvangen maakt haalt zijn e-mail op over SMTP dan gaat de informatie nog steeds als plain text over de lijn van de ontvangende server naar de ontvangende cliënt

Onderschepping en manipulatie van het berichtenverkeer zijn hierbij de grootste risico's en hebben impact op de integriteit en vertrouwelijkheid van de berichten die worden uitgewisseld.

Tot slot is het goed beveiligen van e-mail verkeer volgens de best practices een behoorlijke uitdaging omdat je vaak met relays en ontvangende parrijen te maken hebben die mogelijk die juist of geen beveiliging ondersteunen. Hierdoor zie je vaak dat server wel TLS ondersteunen maar dat de geen certificaat of identiteitscontrole plaats vindt waardoor het verkeer als nog relatief makkelijk is om te leiden en vervolgens is af te luisteren of te manipuleren.
18-12-2015, 12:24 door Martijn9999
Om je vraag te beantwoorden neem ik even aan dat je het alleen hebt over SMTP verkeer tussen mail-servers onderling en niet tussen server en client. Om het verkeer af te luisteren tussen twee mail-servers moet je het verkeer ergens onderweg kunnen onderscheppen. Onderweg gaat dit verkeer via verschillende internet-providers, datacenters, internet exchanges, die weer gebruik maken van glasvezels van diverse telecom-providers en exploitanten van onderzeekabels. Hierbij kan het verkeer door meerdere landen gaan. Al deze bedrijven en overheden hebben legaal dan wel illegaal toegang tot de kabels/glasvezels/apparatuur waar het verkeer over gaat en het is maar de vraag of zij allemaal even betrouwbaar zijn. Voor buitenstaanders is het vrij lastig en waarschijnlijk ook kostbaar om hier toegang toe te krijgen. Dit beperkt het risico tot zeer waardevolle gegevens in het geval van bedrijfsspionage of voor een overheid interessante gegevens in het geval van overheden. Ik denk dat je zelf het beste kan inschatten of jou mailverkeer in die categorieën valt. Maar zelfs als dat niet zo is dan kan ik me voorstellen dat je het geen prettig idee vindt als een bedrijf of overheid mogelijk meeleest met jouw email.

StartTLS maakt afluisteren wel degelijk een stuk moeilijker. Simpelweg het verkeer afluisteren is niet meer voldoende, je zal een MITM-constructie moeten bouwen wat een stuk lastiger is en een risico geeft dat verzendende of ontvangende partij detecteert dat ze afgeluisterd worden. Alle moderne mail server software ondersteund StartTLS en heeft dit ook meestal default aan staan De meeste Nederlandse internet providers ondersteunen dan ook StartTLS. Negatieve uitzondering hierop is KPN en aanverwante internet providers, die het kennelijk nog steeds te veel gedoe vinden om mail op wat voor manier dan ook te beveiligen (positieve uitzondering hierop binnen de KPN groep is natuurlijk Xs4all).
Op de volgende site van Google kan je makkelijk zien of de mailservers van verzendende en ontvangende partij StartTLS ondersteunen: http://g.co/saferemail
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.